https://www.bravotouring.com/~yano/archives/2003/06/25/ Recent content in 2003/06/25 on Yano's digital garage Hugo en-us Wed, 25 Jun 2003 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/20030625a.htm Wed, 25 Jun 2003 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/20030625a.htm <p>昨日書いた<span class="Topics">Webフォーラム</span>の話し。眠気にかまけて理解が不十分だったようで、よ〜く読み進めると問題はクロスサイトスクリプティング(XSS)だけでなく<span class="Note">(XSSも全てのページが対処されたわけでは無いらしいが…)</span><span class="Caution">セキュリティホールはまだある</span>と言わざるを得ない状況だ。</p> <p>で何が<span class="Caution">セキュリティホール</span>か？というと、<span class="Strong">「nifty.com 配下のどこでもセッション Cookie が読める」</span>という問題。<span class="Strong">「domain=.nifty.com」</span>なんてレンジのCookieを発行している事から、@nifty会員ならばcgiを自由に配置できる<span class="Strong">hpcgi*.nifty.com</span>からも簡単にCookieが読み取れるわけ。つまりアクセスカウンター等に仕込んでおけばユーザーには気付かれずに Cookie の値を盗み出すことが可能である、という<span class="Emergency">わちゃ〜</span>な大穴だ。</p> <p>ここだけを取り上げると正気の沙汰とは思えない<span class="Worning">安易</span>を通り越して<span class="Caution">ずさん</span>とも言えるやり方なのだが、サーバーを跨った<span class="Strong">シングルサインイン</span>を実現するとなるとこれ以外には方法は無く、利便性に気を取られて<span class="Worning">Cookie漏洩の危険性</span>まで注意が及ばなかったんだろうと思われる。そういう根の深い問題なので、抜本的な対応となるとURLの変更が避けられないと思われ、かなり時間がかかりそうな気配だ。</p> <p>ユーザーとしてはパスワード等を入力する<span class="Topics">メンバーズエリアにはログインしない</span>のが一番なのだが、少なくともログアウトした後は<span class="Strong">全てのプラウザウィンドウを終了する</span>事が必要。間違っても別のサイトへアクセスしたりしないようにご注意あそばせ。</p> <p class="Reference">【参照】 <br/>●<a href="http://altba.com/bakera/hatomaru.aspx/ebi" target="SubWindow">えび日記</a> <br/>　-<a href="http://altba.com/bakera/hatomaru.aspx/ebi/2003/6/23/0058005300535927738b30fb30553089306a308b30db30a530eb" target="SubWindow">「XSS大王・さらなるホゥル」</a> 2003年6月23日 <br/>　-<a href="http://altba.com/bakera/hatomaru.aspx/ebi/2003/6/25/0058005300535927738b005100260041" target="SubWindow">「XSS大王Q&A」</a> 2003年6月25日 </p> https://www.bravotouring.com/~yano/diary/it/20030625b.htm Wed, 25 Jun 2003 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20030625b.htm <p><span class="Software">apache</span>のアクセスログをIPアドレスからドメイン名に変換する<span class="Software">awk</span>処理。<br/><blockquote class="Log">awk '{"dnsname "$1 | getline nm; close("dnsname"); sub($1,nm,$0); print }' /var/log/httpd/access_log</blockquote></p> https://www.bravotouring.com/~yano/diary/20030625.htm Wed, 25 Jun 2003 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/20030625.htm <p>今日は<span class="Shop"><a href="http://www.washita.co.jp/">わしたショップ</a></span>で<span class="Topics">軟骨ソーキ煮付</span>を調達。</p> <table align="right" class="Landscape"> <tr> <td><img alt="山笠の骨組み" src="https://www.bravotouring.com/~yano/images/2003/030625.jpg"/></td> </tr> <tr> <td class="PhotoMemo"><span class="Point">福岡市博多区千代</span>にて</td> </tr> </table> <p>とろぷるに煮込まれた軟骨が事のほか美味であった。というわけで昨日の「八重山そば」をさらに美味しく頂いて幸せかも。レトルトパックで<span class="Price">325円</span>というのはお手軽だが、独り身でソーキ肉4切れはちょっと多過ぎで、喰い過ぎの気配。</p> <p><span class="Corporation">ブルーシール</span>の期間限定<span class="Topics">オレンジシャーベット</span>もウマかったし言う事なし。何となくゴーヤも買ってしまったので、明日はゴーヤチャンプルーでもいっときますかねぇ。f(^^;;</p> <p>街角には水法被姿の男衆もチラホラ、夏の風物詩<span class="Topics">祇園山笠</span>の気配が漂い始めた<span class="Point">博多</span>である。</p> <p>あと<span class="Topics">「フォーサーズシステム」</span>関係のリンクをぴらっと追加。</p> <p class="Reference">【参照】 <br/>●Olympus E-1 <a href="http://www.olympus-esystem.jp/">http://www.olympus-esystem.jp/</a> <br/>●フォー・サーズ・システム <a href="http://www.four-thirds.org/">http://www.four-thirds.org/</a> </p>